SAP 程序中权限检查和用户权限缺失检查 SU53

1、在程序中调用权限对象

在很多SAP标准程序中，已经存在了对权限数据的调用及管控功能

在程序中可以通过ABAP程序编辑器快速插入调用权限的代码：

权限代码需要放在AT SELECTION-SCREEN.事件块里

AUTHORITY-CHECK OBJECT ‘’
ID ‘’ FIELD
ID ‘’ FIELD
…
ID ‘’ FIELD .
为检查的权限对象。你必须将所有的权限字段（, …）列出来。,…为相应权限字段的值。AUTHORITY-CHECK语句会根据user’s profile来检查权限对象的权限字段，看用户是否对给出的,…权限字段值是否有权限。如果不想对某个权限字段进行权限检查，可以使用DUMMY来代替FIELD 。

AT SELECTION-SCREEN.
PERFORM frm_auth_check.
FORM frm_auth_check .
data: l_werks type werks,
c_text1(60) type c value ‘You have no authorization in Plant:’.
select werks
from t001w
into l_werks
where werks in s_werks.
authority-check object ‘ZDABAP’
id ‘VKORG’ dummy
id ‘BUKRS’ dummy
id ‘WERKS’ field l_werks
id ‘EKORG’ dummy
id ‘KOKRS’ dummy
id ‘GSBER’ dummy
id ‘SEGMENT’ dummy.
if sy-subrc <> 0.
message e001(00) with c_text1 l_werks.
endif.
endselect.
endform.

form frm_auth_check .
data: begin of lt_bukrs occurs 0,
bukrs type t001-bukrs,
end of lt_bukrs.
select bukrs from t001 into corresponding fields of table lt_bukrs where bukrs in s_bukrs.

loop at lt_bukrs.
authority-check object ‘ZDABAP’
id ‘VKORG’ dummy
id ‘BUKRS’ field lt_bukrs-bukrs
id ‘WERKS’ dummy
id ‘EKORG’ dummy
id ‘KOKRS’ dummy
id ‘GSBER’ dummy
id ‘SEGMENT’ dummy.

if sy-subrc <> 0."
  message s001(00) display like 'E' with 'You do not have authorization to access company code:' lt_bukrs-bukrs.
  stop.
endif.

endloop.
endform.

1.1 标题通过程序检查是否有权执行某个Tcd

在ABAP代码中所有调用SAP事务处理命令的地方，都需要事先进行详细的授权检查（调用S_TCODE权限对象来实现），以确认当前用户是否拥有执行此命令所必须的权限：
CALL TRANSACTION ‘SU10’.
增加一段AUTHORITY-CHECK代码：
AUTHORITY-CHECK OBJECT 'S_TCODE
ID ‘TCD’
FIELD ‘SU10’.
IF sy-subrc = 0.
CALL TRANSACTION ‘SU10’.
ENDIF.
这样就可以在调用前确定当前用户是否有权执行。

1.2 在程序中读取权限对象所设定的权限值

GET_AUTH_VALUES
返回该权限对象中的所有权限字段以及该字段所对应的权限值。

2、用户权限缺失检查SU53

建议为所有用户角色分配分配该事务的权限，以方便管理员在出现权限问题时及时核查。

在执行事务时出现权限检查错误后，输入事务代码SU53，则会显示权限评估检查结果：

2.1 用户、角色、权限对象、事务等之间的关系查看 SUIM

如：查看某个事务代码被分配到了哪些角色：SUIM